Microsoft Actualización de seguridad de julio contiene correcciones para 130 vulnerabilidades únicas, cinco de las cuales los atacantes ya están explotando activamente en la naturaleza.
La empresa calificó nueve de las fallas como de gravedad crítica y 121 de ellas como de gravedad moderada o importante. Las vulnerabilidades afectan a una amplia gama de productos de Microsoft, incluidos Windows, Office, .Net, Azure Active Directory, controladores de impresora, servidor DMS y escritorio remoto. La actualización contenía la combinación habitual de fallas de ejecución remota de código (RCE), problemas de derivación de seguridad y escalada de privilegios, errores de divulgación de información y vulnerabilidades de denegación de servicio.
“Este volumen de arreglos es el más alto que hemos visto en los últimos años, aunque"No es inusual ver que Microsoft envía una gran cantidad de parches justo antes de la conferencia Black Hat USA”, dijo Dustin Childs, investigador de seguridad de Trend Micro's Zero Day Initiative (ZDI), en una publicación de blog.
Desde el punto de vista de la priorización de parches, los cinco días cero que Microsoft reveló esta semana merecen atención inmediata, según los investigadores de seguridad.
El más grave de ellos es CVE-2023-36884, un error de ejecución remota de código (RCE) en Office y HTML de Windows, para el cual Microsoft no tenía un parche en la actualización de este mes. La compañía identificó un grupo de amenazas que está rastreando, Storm-0978, que explota la falla en una campaña de phishing dirigida a organizaciones gubernamentales y de defensa en América del Norte y Europa.
La campaña implica que el actor de amenazas distribuya una puerta trasera, denominada RomCom, a través de documentos de Windows con temas relacionados con el Congreso Mundial de Ucrania. “Tormenta-0978"Las operaciones dirigidas han afectado a organizaciones gubernamentales y militares principalmente en Ucrania, así como a organizaciones en Europa y América del Norte potencialmente involucradas en asuntos ucranianos”. Microsoft dijo en un blog publicación que acompañó a la actualización de seguridad de julio. “Los ataques de ransomware identificados han afectado a las industrias de telecomunicaciones y finanzas, entre otras”.
Dustin Childs, otro investigador de ZDI, advirtió a las organizaciones que traten CVE-2023-36884 como un problema de seguridad "crítico", aunque Microsoft mismo lo ha evaluado como un error "importante" relativamente menos grave. “Microsoft ha tomado la extraña acción de lanzar este CVE sin un parche. Eso"Aún está por venir”, escribió Childs en una publicación de blog. “Claramente, hay"Hay mucho más en este exploit de lo que se dice”.
Dos de las cinco vulnerabilidades que se están explotando activamente son fallas de derivación de seguridad. Uno afecta a Microsoft Outlook (CVE-2023-35311) y el otro implica Windows SmartScreen (CVE-2023-32049). Ambas vulnerabilidades requieren la interacción del usuario, lo que significa que un atacante solo podría explotarlas convenciendo a un usuario para que haga clic en una URL maliciosa. Con CVE-2023-32049, un atacante podría eludir el mensaje Abrir archivo: advertencia de seguridad, mientras que CVE-2023-35311 brinda a los atacantes una forma de escabullirse de su ataque mediante el mensaje Aviso de seguridad de Microsoft Outlook.
“Es importante tener en cuenta que [CVE-2023-35311] permite específicamente eludir las funciones de seguridad de Microsoft Outlook y no permite la ejecución remota de código o la escalada de privilegios”, dijo Mike Walters, vicepresidente de investigación de vulnerabilidades y amenazas en Action1. “Por lo tanto, es probable que los atacantes lo combinen con otros exploits para un ataque integral. La vulnerabilidad afecta a todas las versiones de Microsoft Outlook desde 2013 en adelante”, señaló en un correo electrónico a Dark Reading.
Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs, evaluó el otro día cero de elusión de seguridad - CVE-2023-32049, como otro error que los actores de amenazas probablemente usarán como parte de una cadena de ataque más amplia.
Los otros dos días cero en el último conjunto de parches de Microsoft permiten la escalada de privilegios. Los investigadores del Grupo de Análisis de Amenazas de Google descubrieron uno de ellos. La falla, rastreada como CVE-2023-36874, es un problema de elevación de privilegios en el servicio Informe de errores de Windows (WER) que brinda a los atacantes una forma de obtener derechos administrativos en sistemas vulnerables. Un atacante necesitaría acceso local a un sistema afectado para explotar la falla, que podría obtener a través de otras vulnerabilidades o mediante el uso indebido de credenciales.
“El servicio WER es una característica de los sistemas operativos Microsoft Windows que recopila y envía automáticamente informes de error a Microsoft cuando cierto software falla o encuentra otros tipos de errores”, dijo Tom Bowyer, investigador de seguridad de Automox. “Esta vulnerabilidad de día cero se está explotando activamente, por lo que si su organización utiliza WER, recomendamos parchear dentro de las 24 horas”, dijo.
El otro error de elevación de privilegios en la actualización de seguridad de julio que los atacantes ya están explotando activamente es CVE-2023-32046 en la plataforma Windows MSHTM de Microsoft, también conocida como el motor de representación del navegador “Trident”. Al igual que con muchos otros errores, este también requiere cierto nivel de interacción del usuario. En un escenario de ataque por correo electrónico para explotar el error, un atacante necesitaría enviar a un usuario objetivo un archivo especialmente diseñado y hacer que el usuario lo abra. En un ataque basado en la web, un atacante necesitaría alojar un sitio web malicioso, o usar uno comprometido, para alojar un archivo especialmente diseñado y luego convencer a la víctima para que lo abra, dijo Microsoft.
RCE en enrutamiento de Windows, servicio de acceso remoto
Los investigadores de seguridad señalaron tres vulnerabilidades RCE en el Servicio de acceso remoto y enrutamiento de Windows (RRAS) (CVE-2023-35365, CVE-2023-35366y CVE-2023-35367) merecen una atención prioritaria como todas. Microsoft ha evaluado las tres vulnerabilidades como críticas y las tres tienen una puntuación CVSS de 9.8. El servicio no está disponible de forma predeterminada en Windows Server y básicamente permite que las computadoras que ejecutan el sistema operativo funcionen como enrutadores, servidores VPN y servidores de acceso telefónico, dijo Bowyer de Automox. “Un atacante exitoso podría modificar las configuraciones de la red, robar datos, pasar a otros sistemas más críticos/importantes o crear cuentas adicionales para el acceso persistente al dispositivo."
Defectos del servidor de SharePoint
La gigantesca actualización de julio de Microsoft contenía correcciones para cuatro vulnerabilidades RCE en el servidor de SharePoint, que recientemente se ha convertido en un objetivo popular para los atacantes. Microsoft calificó dos de los errores como "importantes" (CVE-2023-33134 y CVE-2023-33159) y los otros dos como “críticos” (CVE-2023-33157 y CVE-2023-33160). “Todos ellos requieren que el atacante esté autenticado o que el usuario realice una acción que, afortunadamente, reduce el riesgo de una violación”, dijo Yoav Iellin, investigador principal de Silverfort. “Aún así, dado que SharePoint puede contener datos confidenciales y, por lo general, está expuesto desde fuera de la organización, aquellos que usan las versiones locales o híbridas deben actualizarse”.
Las organizaciones que tienen que cumplir con regulaciones como FEDRAMP, PCI, HIPAA, SOC2 y regulaciones similares deben prestar atención a CVE-2023-35332: una falla de omisión de la función de seguridad del protocolo de escritorio remoto de Windows, dijo Dor Dali, jefe de investigación de Cyolo. La vulnerabilidad tiene que ver con el uso de protocolos obsoletos y obsoletos, incluida la versión 1.0 de Datagram Transport Layer Security (DTLS), que presenta un riesgo sustancial de seguridad y cumplimiento para las organizaciones, dijo. En situaciones en las que una organización no puede actualizar de inmediato, debe deshabilitar el soporte UDP en la puerta de enlace RDP, dijo.
Además, Microsoft publicó un aviso en su investigación sobre informes recientes sobre actores de amenazas que utilizan controladores certificados por Microsoft"s Programa de desarrollo de hardware de Windows (MWHDP) en la actividad posterior a la explotación.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update
- :posee
- :es
- :no
- :dónde
- 1
- 2013
- 24
- 7
- 8
- 9
- a
- Poder
- Nuestra Empresa
- de la máquina
- acompañado
- Conforme
- Cuentas
- la columna Acción
- lector activo
- activamente
- actividad
- los actores
- adición
- Adicionales
- administrativo
- Negocios
- afectar
- aka
- Todos
- permite
- ya haya utilizado
- Aunque
- America
- entre
- an
- análisis
- y
- Otra
- somos
- AS
- evaluado
- At
- atacar
- ataques
- autenticado
- automáticamente
- Hoy Disponibles
- Azure
- puerta trasera
- Básicamente
- BE
- a las que has recomendado
- antes
- "Ser"
- Negro
- Sombrero Negro
- Blog
- ambas
- incumplimiento
- más amplio
- cada navegador
- Error
- loco
- by
- Campaña
- PUEDEN
- no puede
- a ciertos
- Ingenieros
- cadena
- con claridad.
- clic
- código
- combinar
- cómo
- compañía
- compliance
- cumplir
- exhaustivo
- Comprometida
- computadoras
- Congreso
- Congreso
- que no contengo
- contenida
- contiene
- convencer
- podría
- Para crear
- CREDENCIAL
- crítico
- CVE
- ciber
- Oscuro
- Lectura oscura
- datos
- día
- Predeterminado
- Defensa
- Denegación de servicio
- computadora de escritorio
- Developer
- dispositivo
- HIZO
- Director
- Revela
- revelación
- descubierto CRISPR
- distribuido
- do
- documentos
- sí
- conductores
- doblado
- habilitar
- permite
- Motor
- error
- Errores
- escalada
- Europa
- Incluso
- ejecución
- Explotar
- Explotado
- explotando
- exploits
- expuesto
- Feature
- Caracteristicas
- pocos
- Archive
- financiar
- falla
- defectos
- Digital XNUMXk
- Desde
- función
- Obtén
- puerta
- obtener
- da
- Gobierno
- Grupo procesos
- Materiales
- ¿Qué
- Tienen
- he
- cabeza
- más alto
- fortaleza
- HORAS
- HTML
- HTTPS
- Híbrido
- no haber aun identificado una solucion para el problema
- if
- inmediata
- inmediatamente
- inmersiva
- impactados
- importante
- in
- Incluye
- industrias
- información
- Iniciativa
- interacción
- dentro
- investigación
- involucra
- cuestiones
- IT
- SUS
- sí mismo
- jpg
- Julio
- labs
- large
- Apellidos
- más reciente
- .
- menos
- Nivel
- que otros
- local
- Lote
- muchos
- sentido
- Mérito
- Microsoft
- Microsoft Windows
- micro
- Militares
- mezcla
- modificar
- Mes
- más,
- MEJOR DE TU
- movimiento
- ¿ Necesita ayuda
- red
- del sistema,
- North
- América del Norte
- señaló
- Aviso..
- número
- of
- Oficina
- on
- ONE
- , solamente
- habiertos
- funcionamiento
- sistemas operativos
- Operaciones
- or
- organización
- para las fiestas.
- OS
- Otro
- Otros
- Outlook
- afuera
- parte
- Patch
- Parches
- parcheo
- Pagar
- Realizar
- suplantación de identidad
- campaña de phishing
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- Publicación
- la posibilidad
- regalos
- presidente
- las cuales
- priorización
- lista de prioridades
- privilegio
- Productos
- Programa
- protocolo
- protocolo de seguridad
- protocolos
- distancia
- ransomware
- Ataques de ransomware
- Calificación
- Reading
- reciente
- recientemente
- recomiendan
- reduce
- reglamentos
- relacionado
- relativamente
- la liberación de
- sanaciones
- acceso remoto
- representación
- Informes
- Informes
- exigir
- requiere
- la investigación
- investigador
- investigadores
- Derecho
- derechos
- Riesgo
- enrutamiento
- correr
- s
- Said
- guión
- Puntuación
- EN LINEA
- ver
- visto
- envío
- envía
- mayor
- sensible
- grave
- Servidores
- de coches
- set
- grave
- ENVIAR
- tienes
- similares
- circunstancias
- furtivamente
- So
- Software
- algo
- especialmente
- específicamente
- punto de vista
- Sin embargo
- sustancial
- exitosos
- tal
- SOPORTE
- te
- Todas las funciones a su disposición
- toma
- Target
- afectados
- orientación
- telecomunicaciones
- que
- esa
- La
- su
- Les
- luego
- por lo tanto
- ellos
- así
- esta semana
- aquellos
- ¿aunque?
- amenaza
- actores de amenaza
- Tres
- a
- tom
- demasiado
- Seguimiento
- transporte
- sorpresa
- Tendencia
- dos
- tipos
- Ucrania
- Ucrania
- bajo
- único
- Actualizar
- Enlance
- Estados Unidos de America
- Uso
- utilizan el
- usado
- Usuario
- usando
- generalmente
- Ve
- versión
- versiones
- vía
- vicio
- Vice Presidenta
- Víctima
- volumen
- VPN
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- advertencia
- Camino..
- we
- Basado en la Web
- Página web
- semana
- WELL
- cuando
- que
- mientras
- QUIENES
- amplio
- Amplia gama
- Wild
- seguirá
- ventanas
- dentro de
- mundo
- se
- escribí
- años
- tú
- zephyrnet
- cero
- Zero Day
